Kræftens Bekæmpelse indstillet til bøde

Dato: 29-09-2021

Datatilsynet har anmeldt Kræftens Bekæmpelse til politiet og indstillet til en bøde på 800.000 kr. efter gentagne problemer med utilstrækkelig beskyttelse af bl.a. kræftsyge borgeres helbredsoplysninger.

Datatilsynet har i dag meldt Kræftens Bekæmpelse til politiet og indstillet til en bøde for ikke at have levet op til kravene i GDPR om passende sikkerhedsforanstaltninger. Mindst 1.448 borgeres oplysninger - herunder følsomme personoplysninger om helbred - blev kompromitteret.

"Når kræftsyge borgere betror deres helbredsoplysninger til andre, skal de kunne være trygge ved, at der bliver passet ordentligt på dem. I dette tilfælde har vi ikke kun set enkeltstående smuttere, men flere alvorlige brud, der faktisk kunne være undgået gennem ret basale tiltag," siger Allan Frank, it-sikkerhedsspecialist og jurist i Datatilsynet, og fortsætter:

"Selv om advarselslamperne har blinket gennem noget tid, har Kræftens Bekæmpelse ikke gennemført de initiativer, de selv har vurderet som nødvendige, og konsekvensen har været yderligere nye sikkerhedsbrud."

Manglende implementering af sikkerhedsforanstaltninger

Sagen tager udgangspunkt i fire tilfælde, hvor Kræftens Bekæmpelse har konstateret brud på persondatasikkerheden og selv anmeldt dem til Datatilsynet. To af dem vedrørte tyveri af computere, mens to omhandlede phishingangreb - og alle fire skyldtes, at Kræftens Bekæmpelse havde undladt at implementere sikkerhedsforanstaltninger, som de selv havde vurderet som passende.

Den vurdering skete på baggrund af lignende brud på persondatasikkerheden i august 2018, hvor foreningen blev udsat for hackerangreb i form af phishing og spoofing. I forbindelse med dette angreb vurderede Kræftens Bekæmpelse selv, at de burde øge beskyttelsen gennem multifaktor-autentifikation (dvs. at man bruger to eller flere faktorer til at logge på systemer o.l.), men dette blev ikke implementeret.

Konsekvensen blev, at Kræftens Bekæmpelse ikke var i stand til at forebygge eller forhindre de efterfølgende brud på persondatasikkerheden, og uvedkommende fik uautoriseret adgang til personoplysninger, der blev opbevaret i medarbejdernes Outlook eller lokalt på medarbejdernes computere.

Mindst 1.448 personers oplysninger blev kompromitteret, og i flere tilfælde omfattede de følsomme personoplysninger i form af helbredsoplysninger, herunder sygehistorik.

Som dataansvarlig skal man vurdere, hvilke foranstaltninger der er passende i forhold til den behandling, man foretager sig. Når man har vurderet, hvad der er passende sikkerhed, er det væsentligt, at man sørger for at få implementeret disse tiltag. Hvis man ikke gør det, har man selv vurderet, at ens måde at behandle personoplysninger ikke er tilstrækkeligt sikker. Det er særligt vigtigt, at man er tro mod sin risikovurdering, når man behandler oplysninger om mange personer og oplysninger om helbredsforhold.

Donationer indgår ikke i beregning af bødestørrelse

"Selv om vi har forståelse for den indsats, der ydes til bekæmpelse af kræft, må vi også stå fast på, at hvis man som en del af arbejdsområdet normalt behandler folks personlige oplysninger til sygdomsforebyggelse, sorggrupper eller lignende, er man nødt til også at leve op det ansvar, der følger med. I sidste ende er det et spørgsmål om tillid, som man også skal gøre sig fortjent til, når man arbejder i den gode sags tjeneste," siger Allan Frank.

Datatilsynet er dog opmærksom på, at Kræftens Bekæmpelse er en organisation, hvor størstedelen af foreningens indtægter stammer fra donationer og private midler. I beregningen og vurderingen af bødens størrelse har Datatilsynet alene taget udgangspunkt i Kræftens Bekæmpelses indtægter fra genbrug, arrangementer og salg af merchandise og andre produkter, hvilket svarer til omtrent 10 procent af foreningens samlede indtægter.

Vil du vide mere?

Du kan læse mere om beskyttelse af personoplysninger her.

Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83 eller ad@datatilsynet.dk.

Kan jeg få aktindsigt i sagen?

Retten til aktindsigt omfatter ikke sager inden for strafferetsplejen. Man kan derfor som klart udgangspunkt ikke få aktindsigt i sagen eller sagens dokumenter.

Læs mere om aktindsigt i straffesager her

Fakta

Bødestraffe efter GDPR

I de fleste europæiske lande kan de nationale datatilsynsmyndigheder selv udstede administrative bøder for overtrædelse af de fælles europæiske regler i databeskyttelsesforordningen (GDPR). I Danmark skal bødestraffe efter forordningen indtil videre afgøres ved domstolene.  

Datatilsynet kan indstille både private aktører og offentlige myndigheder til bødestraf. I forbindelse med anmeldelsen af sagen til politiet vurderer Datatilsynet bødens størrelse, og det er herefter op til politi og anklagemyndighed at rejse tiltale og føre straffesagen ved domstolene.

En bøde skal efter reglerne være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Datatilsynet inddrager derfor en række hensyn og afvejninger i både skærpende og formildende retning, når tilsynet udtaler sig om bødens størrelse. Du kan læse mere om, hvad Datatilsynet lægger vægt på i de vejledninger om bødefastsættelse, som tilsynet har udarbejdet i samarbejde med Rigspolitiet og Rigsadvokaten, samt i Det Europæiske Databeskyttelsesråds vejledning om bødefastsættelse. 

Det er forudsat i reglerne, at bødeniveauet for offentlige myndigheder generelt er lavere end for private aktører.

Se en oversigt over bødeindstillinger efter GDPR